当前位置:首页 > 网络 > HUAWEI USG5500 NAT

HUAWEI USG5500 NAT

网络3年前 (2019-02-28)

总公司三台服务器需要被分公司内网PC所访问


拓扑

HUAWEI USG5500 NAT


总公司核心配置

vlan batch 10 20 
#
interface Vlanif10   上联防火墙地址
 ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20   做为服务器网段网关
 ip address 172.22.3.1 255.255.255.0
#
interface GigabitEthernet0/0/1   上联防火墙
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2   下联服务器1
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/3   下联服务器2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/4   下联服务器3
 port link-type access
 port default vlan 20
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.2   默认路由去防火墙


总公司防火墙配置

interface GigabitEthernet0/0/0   下联总公司核心交换
 ip address 192.168.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1   上联分公司接入交换
 ip address 172.22.1.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet0/0/1
#
 ip route-static 172.22.2.0 255.255.255.0 172.22.1.2    去分公司网段
 ip route-static 172.22.3.0 255.255.255.0 192.168.1.1   去总公司服务器网段


分公司接入交换配置

vlan batch 30 to 40
#
interface Vlanif30   上联总公司防火墙地址
 ip address 172.22.1.2 255.255.255.0
#
interface Vlanif40   下联分公司防火墙地址
 ip address 172.22.2.1 255.255.255.0
#
interface GigabitEthernet0/0/1   上联总公司防火墙
 port link-type access
 port default vlan 30
#
interface GigabitEthernet0/0/2   下联分公司防火墙
 port link-type access
 port default vlan 40
#
ip route-static 172.22.3.0 255.255.255.0 172.22.1.1   去总公司服务器网段路由


分公司防火墙

interface GigabitEthernet0/0/0   上联分公司接入交换机
 ip address 172.22.2.2 255.255.255.0
 nat enable
#
interface GigabitEthernet0/0/1   做为分公司内网PC网关
 ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet0/0/2   外网互联地址
 ip address 222.222.222.222 255.255.255.0
 nat enable
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/1   内网信任接口
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/2   互联网非信任接口
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet0/0/0   去总公司DMZ
#
 ip route-static 0.0.0.0 0.0.0.0 222.222.222.221   默认路由器去互联
 ip route-static 172.22.0.0 255.255.0.0 172.22.2.1   去总公司路由
#
policy interzone trust untrust outbound
 policy 1
 description TO-WAN
  action permit
  policy source 192.168.1.0 0.0.0.255
#
policy interzone trust dmz outbound
 policy 1
 description TO-SERVER
  action permit
  policy source 192.168.1.0 0.0.0.255


本站所有文章均可随意转载,转载时请保留原文链接及作者。

本文链接:https://www.vos.cn/net/275.html

相关文章

解除迪普负载均衡ADX3000-TA登陆锁定

解除迪普负载均衡ADX3000-TA登陆锁定

这破玩意儿web页面登陆输入错一次密码,就会出现admin用户被锁定的情况,查了文档默认锁定为1800秒,如果期间不登录设备,过30分钟自动解锁。console口无密码,可以命令直接解除锁定状态<...

锐捷无线控制器WS6108将AP组关联SSID

锐捷无线控制器WS6108将AP组关联SSID

将楼层AP关联到AP组后,AC首页点击“添加无线网络”在“wifi网络名称”中选择要关联的SSID后,点击“编辑”点击“下一步”在最下面的组中,点击“+添加”然后左侧选择一个需要关联的组wireles...

解决H3C MSR光转电、电转光后DHCP无法获得地址

解决H3C MSR光转电、电转光后DHCP无法获得地址

电信进来的光纤接入光猫后,转为电后接入MSR的Ge1口,Ge0口出来根6类线插入TP-link光纤收发器后电转光,接入光纤法兰盘W26,W26与A2相连,A和B机房A2-A2相连,B机房A2-L2相连...

锐捷交换机配置guest登陆用户名和密码使用最低权限级别

锐捷交换机配置guest登陆用户名和密码使用最低权限级别

锐捷和思科一样,进入不同的权限等级时,如果权限等级越高,在设备中能进行的操作就越多。但是多数只使用两个权限等级: 权限等级1的用户exec模式,权限等级15的特权exec模式缺省配置下登录设备是用户...

解决富士施乐DocuCentre-V C2263不同vlan不互通问题

解决富士施乐DocuCentre-V C2263不同vlan不互通问题

7楼客户端地址为172.19.71.10,20楼打印机地址为172.19.201.136,出现问题为客户端PING打印机不通,无法连接打印机。查看对照表,7楼用户VLAN为70120楼为VLAN200...

OSPF虚链路+链路区域认证

OSPF虚链路+链路区域认证

OSPF网络中Aera0为骨干区域,其它Aera为非骨干区域,非骨干区域必须与骨干区域直接相连,根据拓扑图可看到R3所在的Aera1将两个骨干Aera0分隔开,这种情况下需要在R2和R5之间创建一条虚...